Из чего складывается структура затрат на коммерческий SOC?

12 ошибок при построении SOC SecOps

В Positive Technologies есть своя кофейня, в которой кофе стоит 90 рублей (у нас есть и кофемашины с бесплатным напитком, пришедшим В Россию во времена Алексея Михайловича, конечно). В кафе на первом этаже нашего бизнес-центра такая же кружка кофе стоит 150 рублей. В аэропорту тот же объем напитка, который появился в России в 17-м веке, может стоить уже больше 200 рублей, а в отдельных пафосных кофейнях и вовсе превышать сумму бизнес-ланча. Ровно такая же ситуация происходит на рынке коммерческих SOCов, когда одна организация готова предложить свои услуги за 20 миллионов рублей в год, другая хочет получить полмиллиарда, а третья падает ниже плинтуса и предлагает аутсорсинг мониторинга ИБ всего за 2 миллиона рублей. И вроде как описание услуг у всех схожее — мониторинг, выдача рекомендаций по реагированию, стандартные сценарии (use case) с поддерживающими плейбуками и т.д. Почему же такой разброс цен и можно ли на него как-то повлиять?

Ну насчет повлиять я вам ничем не могу помочь, а вот порассуждать на тему “почему” могу. Может это поможет вам самим выстраивать процесс переговоров с коммерческим SOCом с иных позиций. А пока вернемся к стоимости чашки кофе.

Структура затрат на чашку кофе
Структура затрат на чашку кофе

Посмотрите на эту карту составных частей стоимости чашки кофе. Как это не парадоксально, но именно цена самого кофе составляет в ней всего каких-то 4%.

Четыре процента!

Львиная доля затрат уходит на аренду помещения для кофейни — 35%. Четверть всей цены — это зарплата обслуживающего персонала кофейни. Налоги примем за 15% (в реальности все будет зависеть от режима налогообложение), а прибыль — за 10%. На пластиковые или бумажные стаканчики приходится еще 7%, а на молоко для латте или капучино — оставшиеся 4%. Интересная картинка, не так ли? Ровно такие же рассуждения будут относиться и к стоимости бензина, которая у нас не падает при падении цены на нефть, — себестоимость добычи черного золота составляет (для Аи-92) всего около 7% (а вот налоги и акцизы составляет около 70%).

Структура стоимости SOCа, конечно, немного иная, но идея с распределением статей себестоимости будет схожей. Когда 4 года назад я писал про составные части стоимости SOC, я ориентировался на внутренний SOC, которые создавали многие компании для себя, не учитывая затраты на аутсорсинг. Если же мы захотим посчитать именно его, то к ранее описанной модели мы должны будем добавить, как минимум, налоги (в обычном SOCе они тоже есть, но сумма на них гораздо меньше, чем у коммерческого центра мониторинга) и прибыль, размер которой зависит от аппетитов владельцев аутсорсера.

Статьи затрат собственного SOCа
Статьи затрат SOCа (преимущественно собственного)

Но вернемся к другим составным частям структуры затрат. Аренда… В зависимости от того, где располагается SOC стоимость квадратного метра помещения может отличаться не просто в разы, а даже на порядок, что не может не сказаться на себестоимости коммерческого центра мониторинга, которую будут закладывать в его цену. При этом, чем пафоснее внешне SOC, чем больше там всяких переговорных для всех, ситуационных комнат, помещений с кучей бесполезных плазм, охраны, СКУДа с видеонаблюдением, и т.п., тем дороже услуги, за которые вы будете платить; хотя они по своему качеству могут не отличаться от SOCа, который сидит в задрипанном помещении, без мест для сна, игровой комнаты, массажного кабинета, а также залов с плазмами и кофемашинами. Кстати, о последних. Стоимость мебели тоже сильно влияет на себестоимость SOCа — чем красивее помещения, чем краснее дерево на столах его аналитиков и менеджеров, тем выше будет конечная стоимость услуг.

С зарплатой вроде все понятно — аналитики в SOC обычно недешевые, но в коммерческом SOCе к их зарплате обычно плюсуется стоимость также недешевого обучения, на которое в центрах мониторинга внутренних обычно не хватает ни времени, ни денег (как правило). Но если в своем центре вы оплачиваете труд только своих аналитиков, исследователей угроз и инцидентов, менеджера, инженеров платформ SIEM, TIP, SOAR и т.п., то в коммерческом SOCе из ваших денег будут выплачиваться и зарплаты его уборщиц, охраны, секретарш, административного персонала, маркетологов и т.п.; да, не вся, но ее все равно будут включать в себестоимость услуг. Кстати, вам придется платить еще и за рекламу и маркетинг коммерческого SOCа — ведь ее стоимость включается в стоимость услуг для вас.

Кстати, обычно внешний, аутсорсинговый SOC подключается к ГосСОПКЕ, что требует пройти аккредитацию в ФСБ, а это, в свою очередь, предъявляет к такому центру определенные требования по персоналу, его квалификации (обучение 500+ часов тоже стоит денег), инструментарию. Иногда может потребоваться также и лицензия ФСТЭК на мониторинг и ФСБ, а эти затраты тоже будут включены в себестоимость.

Что в итоге? Я бы отметил несколько важных выводов:

  • Себестоимость коммерческого SOCа, при прочих равных, почти всегда выше стоимости SOCа собственного. Но за счет использования операционной модели оплаты, вместо капитальной, мы будем платить предсказуемую сумму ежемесячных или ежеквартальных затрат, которые в абсолютном значении будут меньше. Поэтому, если вам нужен SOC “здесь и сейчас”, то аутсорсинговый мониторинг для вас будет выгоден с экономической точки зрения (вопрос кадров и технологий пока оставим в стороне). Но на горизонте 4-6 лет экономика может быть уже в пользу своего SOCа.

    Пример расчета стоимости собственного SOCа
    Пример расчета стоимости собственного SOCа
  • “Красивый” коммерческий SOC всегда будет дороже менее пафосного (при одинаковом качестве оказываемых услуг). Понятно, что всегда хочется приходить в красивый офис, где светло и вкусно пахнет, а длинноногая секретарша при обсуждении условий контракта приносит вам дымящийся кофе в чашке императорского фарфора, но кто-то за это должен будет платить и, очевидно, это будут клиенты, в стоимость услуг для которых и будут включены все эти затраты.
  • SOC за пределами Москвы обойдется вам дешевле столичного центра мониторинга; как минимум, с точки зрения стоимости аренды офисов и ФОТ специалистов, которые будут составлять немалую долю в затратах.
  • Стоимость инструментов в коммерческом и собственном SOCе будет одинакова при прочих равных условиях.

Да, все описанные выше затраты будут раскиданы на всех клиентов коммерческого SOCа и если их много, то это будет ниже, чем в случае небольшого числа заказчиков. Так что этот вопрос тоже стоит уточнить при выборе услуг внешнего центра мониторинга.

Это вроде очевидные рассуждения, но мы не всегда задумываемся о них, считая все нас окружающее само собой разумеющимся. Но это обычная экономика и кто-то должен оплачивать все части структуры затрат на услугу по мониторингу и реагированию. Это, конечно, может делать и аутсорсер, но с чего ему это делать и вешать на себя то, за что могут заплатить внешние пользователи (а если он это делает, то у меня возникают вопросы в его способности вести бизнес). Задумавшись о том, из чего складывается стоимость SOC, мы сможем понять, где можно попробовать потребовать скидок и как сравнивать разные SOCи между собой именно с точки зрения их цены, а не качестве предоставляемых услуг.

ЗЫ. Внизу👇🏿 вы найдете еще ряд ссылок по выбору внешнего SOCа и его ценообразованию.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. пофиг

    И так везде…магниты рулят.
    Но чаще всего, там где дороже там и качественнее, ненамного, процентов на 20-50, т.к. могут привлекать спецов подороже, и обрудование нормальное обновления постоянные итдитп….но это не правило, тем более в россии, где иб завязано на госах. А в госах знаю примеры и супернизкий бюджет(в образовании например, хотя ихнюю работу можно и на уголовку натянуть) и супервысокий бюджет(тут сами мониторьте)….

    Ответить
  2. Денис

    Лидер SOC работает 1 месяц в году?
    Общую картинку, конечно, это не меняет

    Ответить
    1. Алексей Лукацкий автор

      Откуда такой вывод про 1 месяц?

      Ответить